情報セキュリティポリシーとは?
情報セキュリティポリシーとは、企業などの組織が定める情報セキュリティに関する方針・行動指針のことです。企業がもつ情報資産をどのように内外の脅威から守るか、どのような対策を講じるかといった考え方を具体的に示すのが一般的です。
情報セキュリティ対策は企業の規模や体制によって大きく異なるため、自社に合った情報セキュリティポリシーを策定しなければなりません。また、セキュリティ担当者だけが対策を心がけるだけではあまり意味がなく、すべての従業員がセキュリティ意識をもたないと思わぬトラブルに発展してしまう可能性があるでしょう。
そのため、情報セキュリティポリシーを通じて会社全体のセキュリティ意識を向上させる必要があります。
情報セキュリティポリシーの必要性
情報セキュリティポリシーの必要性は、主に次の要素に分けられます。
リスクから情報資産を守る
企業にとっての情報資産は、生命線といっても過言ではないでしょう。セキュリティポリシーにより、内外の脅威からこれらの資産を守ることが可能となり、事業の安定と継続を図れます。
信頼と評判の維持につながる
情報漏えいや個人情報の流出は企業の信頼を失墜させてしまうでしょう。適切なセキュリティポリシーをもつことで、賠償や訴訟といった大問題への発展を未然に防ぎ、顧客やビジネスパートナーからの信頼を維持できます。
トラブル発生時に迅速な対応ができる
セキュリティポリシーは、トラブル発生時の迅速な対応を可能にします。災害や緊急時にも慌てずに適切な措置を講じられるため、危機管理能力が向上します。
従業員のセキュリティ意識の向上
情報セキュリティポリシーの周知は、従業員のセキュリティ意識を高めることにもつながります。これにより、社内全体のセキュリティ対策が強化され、より安全な作業環境が実現されるでしょう。
情報セキュリティポリシーを策定すれば、セキュリティに関する判断基準や取るべき対策が具体的になります。従業員への周知により、それぞれのセキュリティ意識を高められることも大きなメリットといえるでしょう。またポリシーを策定していれば、災害時など不測の事態が起こった際にも慌てずに適切な対応が可能です。
情報セキュリティの3要素(CIA)とは
情報セキュリティの基本は、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の頭文字を取った「CIA」として知られる3つの重要な要素にまとめられます。これらの要素は、情報セキュリティを確保するうえで不可欠な部分として機能します。
機密性(Confidentiality)
機密性(Confidentiality)は、許可されたユーザーのみが情報にアクセスできることを保証することで、不正アクセスや情報漏えいを防ぐために重要です。適切な機密性を維持することで、企業や組織は顧客情報、従業員情報、およびビジネス的な秘密を保護できるでしょう。
完全性(Integrity)
完全性(Integrity)は、情報が正確であり、不正な変更から保護されていることを指します。これにより、データが信頼性を保ち、その有用性が確保されるのです。データの完全性を維持することで、誤った情報にもとづいた決定を避け、組織の効率と信頼性が向上するでしょう。
可用性(Availability)
可用性(Availability)は、システムの信頼性と継続性といった必要なときに情報やリソースが利用可能であることを保証します。可用性を確保することで、組織は業務中断を最小限に抑え、生産性を維持できるでしょう。
情報セキュリティポリシーの内容
それでは、情報セキュリティポリシーには具体的にどのような内容が記載されるのでしょうか。内容は「基本方針」「対策基準」「実施手順」の3部構成が一般的です。それぞれを詳しく見ていきましょう。
【基本方針】組織の指針を宣言する
基本方針は、後述する対策基準や実施手順の基本的な考え方を示すものです。なぜ情報セキュリティポリシーが必要なのか、どのような方針で対策を取るのかなどの理念を記載します。また情報セキュリティポリシーの適用範囲や対象者、違反時の対応などもここで明示しましょう。
【対策基準】ガイドラインを載せる
対策基準には、実際の指針が記されます。部署や業務ごとのガイドラインを載せるイメージです。例としてよくあるガイドラインをいくつか見てみましょう。
- ●システム開発ガイドライン
- ●サーバ運用ガイドライン
- ●社内ネットワーク利用ガイドライン
- ●アウトソーシング契約ガイドライン
- ●セキュリティ教育ガイドライン
- ●入退出管理ガイドライン
それぞれのガイドラインで、情報セキュリティ対策の方法や基準などを明示します。何がどこまで許されるのか明確な基準を設けて記載しましょう。対策基準に違反した際の罰則も記します。
【実施手順】具体的な運用方法を載せる
実施手順は、先述した対策基準について具体的にどのような方法で満たすかを示すものです。マニュアルと考えるとわかりやすいでしょう。もしセキュリティ教育について記すならば、以下のような内容を載せます。
- ●教育を実施する頻度や回数
- ●対象者
- ●採用する教材や学習形態
- ●教育効果を測定する方法
実施手順が忠実に実行されれば、対策基準が自然に満たされます。業務別に、具体的で実現性の高い手順を定めましょう。
情報セキュリティポリシー策定のポイント
次に、策定のポイントについて見ていきましょう。経済産業省の政策実施機関である独立行政法人情報処理推進機構(IPA)は、情報セキュリティポリシーの決め方として以下の8ステップを定めています。
- 1.組織・体制の確立
- 2.基本方針の策定
- 3.情報資産の洗い出しと分類
- 4.リスク分析
- 5.管理策の選定
- 6.対策基準の策定
- 7.対策基準の明文化と周知徹底
- 8.実施手順の策定
実際の策定手順は企業によって異なるため、初めて策定する場合は参考にするとよいでしょう。では、以上を踏まえて策定時のポイントを解説します。
具体的にわかりやすく記載する
情報セキュリティポリシーは、それぞれセキュリティの知識量が異なる多くの従業員が目にするものです。わかりやすさを意識して記載しなければ、内容を理解できない従業員も出てくる可能性があるでしょう。内容がわからなければ従うことはできず、情報セキュリティポリシーは形骸化してしまうかもしれません。
そのような事態を防ぐために、情報セキュリティポリシーでは平易な表現を心がけましょう。また文章がわかりやすいだけでなく、迷わずすぐ実行できるほど具体的に記すことが大切です。例えばパスワードの設定方法を記載する際には、以下のように記述するとよいでしょう。
- ●10文字以上にすること
- ●数字と英字をそれぞれ最低1つ含めること
- ●同じ文字を3つ以上含まないこと
- ●3か月おきに変更すること
前出の情報処理推進機構では、基本方針のサンプルなどを掲載しています。それをもとに検討するのも一つの手でしょう。
参考:中小企業の情報セキュリティ対策ガイドライン|独立行政法人情報処理推進機構
責任者を明確にし体制を整える
情報セキュリティポリシーの策定は、組織全体にかかる大がかりな仕事です。まずは運営組織を立ち上げて体制を整える必要があるでしょう。
このとき、運営組織には経営層の参加も欠かせません。情報セキュリティポリシーの運用では別の担当者が主体となるにせよ、策定時には経営層も積極的にかかわる必要があります。情報セキュリティポリシーは、企業がどれほどセキュリティリスクに対抗できるかを社内外にあらわす重要なものだからです。
ただし経営層だけで決めてしまえば、情報セキュリティポリシーと現場の状況が乖離し、実情にそぐわないものとなってしまうでしょう。現場の視点をもちつつ、セキュリティ知識に長けた人材を責任者に据えるのがおすすめです。
もし社内に十分な知見をもつ従業員がいなければ、コンサルタントなど外部の専門家に協力を仰ぐことも可能です。ただしその場合でも、社内の責任者を主体として策定・運用を行いましょう。内部事情に精通した責任者が中心にいることで、実情に即したポリシーが策定できるためです。外部の専門家にはあくまでもアドバイザーとして、協力してもらうのが望ましいでしょう。
情報セキュリティポリシー運用のコツ
情報セキュリティポリシーは、一度策定すれば完成するものではありません。初めて策定する段階で完全なセキュリティポリシーを作ることは極めて困難だからです。またIT技術の進歩や法改正、社内体制の変化などにともない、内容を改変する必要に迫られることもあります。
したがって情報セキュリティポリシーは、継続的に手を加えてよりよいものを目指すのが望ましいでしょう。以下のようにPDCAサイクルを回しながら、情報セキュリティマネジメントを行うのがおすすめです。
- Plan(計画・策定)
- 状況に見あった情報セキュリティポリシーを策定する。
- Do(導入・運用)
- 対策基準・実施手順に従って業務を遂行する。必要に応じて教育も行う。
- Check(監査・評価)
- 問題点の有無とその原因を明らかにする。セキュリティ情報の収集、従業員へのヒアリング調査なども実施する。
- Action(改善)
- Checkで得た知見を次のPlanにどう活かすか検討する。
情報セキュリティポリシーを策定して従業員の意識を高めよう
情報セキュリティポリシーは、企業がセキュリティ対策を行う方針や手順を定めたものです。一般的には基本方針、対策基準、実施手順で構成されます。策定の際には具体的な記載を心がけ、体制も整備しましょう。また運用後にはPDCAサイクルを回し、社会状況や社内体制にあわせて改善していく必要があります。自社に見あう情報セキュリティポリシーを策定し、情報資産を守りましょう。
